Im Fall des Dettelbacher Trojaners wird eines immer deutlicher: Es hat massive Versäumnisse im Rathaus bei der Datensicherung gegeben. Und auch beim Krisenmanagement hat Bürgermeisterin Christine Konrad (Freie Wähler) Fehlentscheidungen zu verantworten. Inzwischen haben auch Spiegel-Online und das „heute-Journal“ des ZDF den Fall aufgegriffen, der eine Reihe von Fragen aufwirft. Fragen, die weiter unbeantwortet sind.
Vollständig unbrauchbar
Aber der Reihe nach: Zu unserer Berichterstattung vom Freitag („Trojanisches Pferd trifft Dettelbach“) hat uns die Bürgermeisterin eine Stellungnahme geschickt. Der Wortlaut: „Die Daten der Stadtwerke zu den 2 300 Haushalten sind zu keinem Zeitpunkt in falsche Hände gelangt. Sie wurden von einem Schadprogramm verschlüsselt und in der weiteren Bearbeitung durch die Stadtverwaltung Dettelbach leider vollständig unbrauchbar gemacht. Es gab von mir zu keinem Zeitpunkt meiner Amtszeit eine Anweisung zur Änderung des Umgangs mit Datensicherungen.“ Also, noch einmal zum Mitschreiben: Die Daten wurden durch die Bearbeitung von der Stadtverwaltung Dettelbach vollständig unbrauchbar gemacht!
Sprich: Als der Trojaner entdeckt wurde, hat man nicht sofort eine Fachfirma eingeschaltet, sondern selbst am EDV-System herumgedoktert. Und das, ohne zumindest in diesem hochbrisanten Moment eine Sicherung des Ist-Zustands herbeizuführen. Dann hätte man beim Nichterfolg der eigenen Reparaturversuche der Fachfirma den „Anfangszustand“ vom 8. Februar, dem Tag des Befalls, übergeben können.
Es ist mutig von der Bürgermeisterin, zu behaupten, dass „zu keinem Zeitpunkt Daten in fremde Hände geraten sind“. Wenn Kriminelle per Trojaner in ein Netzwerk eingedrungen sind, könn(t)en sie sehr wohl unbemerkt Daten abgegriffen haben. Beispielsweise sind bei Stadtwerken üblicherweise die Bankdaten der Kunden hinterlegt, inklusive der Einzugsermächtigungen.
Viele Banken, die Verbraucherzentrale und Spezialisten wie der Chaos Computer Club warnen ausdrücklich vor Schäden, die Trojaner anrichten können. Zu den „typischen Schadfunktionen“ zählt zum Beispiel das Ausspähen von sensiblen Daten wie Passwörtern und Bankdaten. Also: Woher nimmt Frau Konrad die Gewissheit, dass dies in Dettelbach nicht passiert sein könnte?
Alle Stunde ein Backup
Offenkundig ist, dass die Datensicherung vor dem 8. Februar alles andere als professionell gewesen sein muss: Hätte es zumindest ein monatliches Backup gegeben – und zwar ein externes, ohne Verbindung zum Netzwerk – dann müssten die Bürger jetzt nicht ins Rathaus laufen, um ihre Rechnungen dort vorzulegen.
Üblich sind bei Behörden viel kürzere Backups: Bei Finanzämtern sei das stündlich der Fall, wie ein ehemaliger Mitarbeiter in einem Kommentar zu unserem Artikel geschrieben hat. Ein anderer User meint, dass es eigentlich „ein Skandal“ ist, dass eine Stadtverwaltung Lösegeld bezahlt. „Ich arbeite selbst im Öffentlichen Dienst und bei uns werden bestimmte Daten sogar stündlich(!) gesichert.“ Es passt ins Bild, dass Dettelbach auch nicht direkt an das Bayerische Behördennetz CERT angeschlossen ist. Laut dem Landesamt für Digitalisierung, Breitband und Vermessung konnten bislang 99,99 Prozent aller Angriffsversuche über dieses Netz abgewendet werden. Dettelbach ist nur indirekt über den Landkreis Kitzingen verbunden, und die Frage ist: Kamen die Warnmeldungen zu dem Trojaner im Rathaus an? Wenn ja, hätten alle Alarmglocken läuten müssen.
Wenn nein, sollte zumindest zukünftig der direkte Zugang zu CERT Pflicht sein.
In weiteren Kommentaren zu unseren Beiträgen wundert man sich stark über das Vorgehen in Dettelbach. Beispielsweise listet „Frankenpatriot“ detailliert Links auf, wie die Stadt auch ohne Zahlung den Trojaner losgeworden wäre. „Es war absolut falsch und gefährlich, Zahlungen zu leisten. Deshalb sollten die Dettelbacher Bürger ihr Geld von der Bürgermeisterin zurückfordern.“
„Tagblatt–leser“ fragt sich: Gibt es keine Datenschutzbeauftragte auch in kleineren Kommunen, die mit der Materie hinreichend vertraut sind? Und: Wo bleibt die Kommunalaufsicht?“ „Andi774“ schreibt: „So was Unfähiges und Dilettantisches von Seiten einer Behörde, die eine Unmengen an sensiblen Daten bevorratet, kann man sich gar nicht vorstellen. Und dann die Reaktion auf das alles . . . unglaublich.“
Das grundlegende Problem greift Jutta Öhring aus Würzburg auf, die in einer Netzwerk-Fachfirma arbeitet. Unter „Wi 127“ schreibt sie: „Das Problem ist, dass viele Unternehmen bis heute nicht begriffen haben, wie existenziell ihr Datenbestand für sie ist – und sie sparen sich die Kohle für ein wirkungsvolles Datensicherungssystem. Wie hat mir mal eine Unternehmerin gesagt: „Oh, jetzt wollen wir mal auf dem Teppich bleiben! Hier ist noch nie was passiert, und ich lebe doch nicht im Was-wäre-wenn. . . “
Professioneller Betreuer
Öhring weiter: „Ein gutes Backupsystem kostet Geld. Für immer verlorene Daten kosten allerdings unter Umständen die Firmenexistenz. Aktuell weiß ich von zwei großen Firmen, denen es in den letzten Monaten den Hals gerettet hat, dass ein professioneller EDV-Betreuer bei ihnen ein professionelles Backupsystem eingerichtet und gepflegt hatte. Locky kam, Daten weg, Backup zurückgespielt, alles gut.“
So einfach hätte es in Dettelbach auch sein können.
Politik ist gefordert das dem Bürger klar zu machen. Das Thema Datensicherheit ist nur eines von vielen das die Bürgermeister;innen überfordert. Eine Stellungnahme der Landrätin erwarte ich trotzdem. Denn dort sollte Kompetenz vorhanden sein. Sie kann doch ein blindes Dettelbacher Huhn nicht sehenden Auges ins Unglück stürzen lassen. Hier hat ganz kläglich auch die Dienstaufsicht versagt meine liebe Tamara.
Obwohl ...
Ob Dettelbach direkt oder indirekt am Behördennetz hängt, sollte eigentlich egal sein. Aber auch die Spamfilter in Behördennetzen können nicht 100%ig sicher sein.
Wenn wirklich "nur" TeslaCrypt aktiv war, sollten eigentlich wirklich keine Daten kopiert worden sein. TeslaCrypt wird normalerweise per Mail verteilt und verschlüsselt Dateien. Zumindest bisher habe ich noch nichts davon gelesen, daß er die Dateien auch irgendwohin überträgt.
Und hoffentlich hat sich inzwischen jemand das dettelbacher Netz angesehen, der sich damit auskennt und das überprüft. (Evtl. ja ein CERT ...)
Ein Datenschutzbeauftragter ist für den Datenschutz zuständig, nicht für Datensicherheit.
Na schön. Aber das was sich Dettelbach da geleistet hat, war mMn auf jeden Fall eine Schote der Extraklasse. Insbesondere interessant wäre es noch zu wissen, wer den Trojaner hereingeholt hat und wie - sonst passiert das doch am Ende gleich noch einmal.
Und noch einmal ganz unabhängig davon wäre es zu hoffen, dass wirklich keine persönlichen Daten (zum Zweck des Missbrauchs) gehackt worden sind. Meine Güte, also die Naivität(?), mit der da argumentiert wird, die beunruhigt einen schon ein wenig... kann man nur hoffen, dass diesbezüglich anderenorts ein wenig mehr Sorgfalt walten gelassen wird!
Kann hier mal bei den kompetenten Stellen im Rathaus recherchiert werden, wie es mit dem Datenbestandsschutz der Würzburger Bürger in ihrer Stadtverwaltung mit allen Nebenstellen aussieht?
Wäre ähnliches wie in Dettelbach auch bei uns möglich (vl. auch nur teilweise?) oder ist alles bestens abgesichert?
MfG